Jumlah kerentanan keamanan dalam perangkat lunak sumber terbuka telah turun 16% dalam dua tahun, klaim audit cacat kode baru-baru ini.
Laporan tahunan, ditugaskan oleh Departemen Keamanan Dalam Negeri AS dan dilakukan oleh perusahaan perangkat lunak Coverity, mencari cacat dan kerentanan dalam proyek sumber terbuka menggunakan alat analitik yang secara otomatis mendeteksi berbagai kesalahan umum di sumber kode.
Laporan Coverity tahun 2008 menyurvei 55 juta baris kode, dan menemukan 0,25 kesalahan per 1.000 baris kode, turun 16% dari 0,3 kesalahan yang ditemukan hanya dua tahun lalu.
“Temuan ini mewakili pengurangan keseluruhan kepadatan cacat analisis statis di 250 proyek sumber terbuka dari total 23.068 cacat individu, "jelas laporan itu, yang mencantumkan penghormatan penunjuk nol dan kebocoran sumber daya sebagai dua kesalahan paling umum yang ditemukan di proyek hari ini.
Selain jumlah rata-rata cacat yang menurun, juga ditemukan bahwa beberapa proyek berhasil mengurangi angka ini, yang dikenal sebagai kepadatan cacat, menjadi nol. Perl, PHP dan Samba semuanya dicatat oleh perusahaan sebagai berkinerja sangat baik dan memiliki kepadatan cacat yang sangat rendah.
Mungkin kemungkinan yang paling menarik untuk analisis kesalahan otomatis adalah perbandingan antara kode sumber terbuka dan komersial, untuk akhirnya menjawab perdebatan yang paling aman secara meyakinkan, meskipun Coverity menjelaskan bahwa ini tidak mungkin terjadi dalam waktu dekat masa depan.
“Banyak developer memiliki pendapat tentang perbedaan kualitas dan keamanan open source versus komersial perangkat lunak, dan sejumlah teori telah dihipotesiskan untuk membenarkan keunggulan satu kelas kode lain.
“Namun, membandingkan kedua kelas kode ini tidak mungkin untuk tujuan laporan ini, terutama karena sulitnya mendapatkan kumpulan data yang sebanding.”
